인터넷나야나

메뉴 바로가기
본문 바로가기

공지사항

공지사항: NAYANA의 소식과 안내 사항을 확인하세요.

공지사항 테이블

알림

[공지] MS06-040 취약점을 이용하는 웜, Wargbot (IRCBot.ST)

2006-08-17 10:19:40

주석--공지내용시작-->* 반드시 2006년 8월 마이크로소프트 업데이트 사이트를 방문하여,
윈도우즈 패치를 하시길 바랍니다.

http://update.microsoft.com 에 방문하여 반드시 패치.
MS06-040 취약점을 이용하는 웜, Wargbot (IRCBot.ST)
W32.Wargbot [Symantec]
다른 이름 : CME-482 [Common Malware Enumeration]
IRCBot.ST [F-Secure]
Backdoor.Win32.IRCBot.st [Kaspersky / 지오트]
IRC-Mocbot!MS06-040 [McAfee]
W32/Cuebot-L [Sophos]
W32/Cuebot-M [Sophos]
WORM_IRCBOT.JK [TrendMicro]
WORM_IRCBOT.JL [TrendMicro]
Backdoor:Win32/Graweg.A [Microsoft]
Backdoor:Win32/Graweg.B [Microsoft]
Cuebot.J [Computer Associates]
Win32/WargBot.worm.9374 [안철수연구소]
Win32/WargBot.worm.9609 [안철수연구소]
Win32.HLLW.Nert [바이러스체이서]

종류 : 웜
파일 크기 : 9,609 bytes / 9,374 bytes
전파 경로 : 메신저, 보안취약점, 공유폴더

영향 받는 시스템 : Windows 2000, Windows 95, Windows 98, Windows Me,
Windows NT, Windows Server 2003, Windows XP

감염 증상
* 윈도우 시스템 폴더에 다음 파일을 생성 : wgavm.exe / wgareg.exe
* 윈도우 폴더에 다음 로그파일을 생성 : dcpromo.log

Display name : Windows Genuine Advantage Registration Service /
Windows Genuine Advantage Validation Monitor

* 다음 레지스트리 서브키 생성 :
HKEY_LOCAL_MACHINESystemCurrentControlSetServiceswgareg

* 윈도우 보안 센터를 중지시키기 위해 다음 레지스트리 값을 변경 또는 추가 :
HKEY_LOCAL_MACHINESOFTWAREMicrosoftOleEnableDCOM = "n"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftsecurity centerantivirusdisablenotify = 0x00000001

HKEY_LOCAL_MACHINESOFTWAREMicrosoftsecurity centerantivirusoverride = 0x00000001

HKEY_LOCAL_MACHINESOFTWAREMicrosoftsecurity centerfirewalldisablenotify = 0x00000001

HKEY_LOCAL_MACHINESOFTWAREMicrosoftsecurity centerfirewalldisableoverride = 0x00000001

HKEY_LOCAL_MACHINESYSTEMControlSet001ControlLsarestrictanonymous
= 0x00000001

HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftwindows
firewallstandardprofileenablefirewall = 0x00000000

HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftwindows
firewalldomainprofileenablefirewall = 0x00000000

HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesSharedAccessStart
= 0x00000004

* 포트 18067 을 통하여 IRC 서버로 접속 시도 :
bniu.househot.com, bbjj.househot.com, ypgw.wallloan.com

* IRC 접속시 나타날 수 있는 증상 :
DDoS, UDP, Syn Flooding 공격, Scan 공격, 파일 다운로드 및 실행

* 네트워크의 급격한 트래픽
[Symantec]
http://www.symantec.com/enterprise/security_response/writeup.jsp?docid=
2006-081312-3302-99&tabid=2

[F-Secure]
http://www.f-secure.com/v-descs/ircbot_st.shtml

[지오트]
http://www.geot.com/customer/customer_notice_view.php?db=notice&no=413

[McAfee]
http://vil.nai.com/vil/content/v_140394.htm

[Sophos]
http://www.sophos.com/virusinfo/analyses/w32cuebotl.html

[안철수연구소]
http://info.ahnlab.com/smart2u/virus_detail_4877.html
http://info.ahnlab.com/smart2u/virus_detail_4878.html 주석--공지내용끝-->

이전글 [공지] 서버관리 솔루션 \\\\ 2006-09-06
다음글 [공지] 2006년 8월 Microsoft 보안 업데이트 2006-08-17